Cuando las estrategias de ciberseguridad mejor diseñadas y todos los medios para proteger la información y los activos de TI se ven afectados por un ciberataque, tener un ciberseguro es clave. Mitigar la exposición de una organización al riesgo financiero y operativo es uno de los grandes beneficios, aunque el panorama de los ciberseguros está cambiando y hay que tener una serie de cuestiones en cuenta a la hora de considerarlos.
A medida que aumenta la frecuencia y la gravedad de los ataques de ransomware, phishing y denegación de servicio, también crece la demanda de ciberseguros. Solo en Estados Unidos, el pasado año se registraron alrededor de 6.500 millones en primas suscritas directas, un aumento del 61% respecto al año anterior, según la Asociación Nacional de Comisionados de Seguros.
Y es que, ante el aumento de las ciberamenazas, cada vez más organizaciones empiezan a verlos como parte esencial en su estrategia de gestión de riesgos.
Sin embargo, los expertos apuntan que es posible que no todos los que quieran disponer de un ciberseguro en 2023 puedan conseguirlo. El precio de las pólizas está experimentando un importante crecimiento y las aseguradoras cada vez piden más pruebas de que existen estrategias sólidas de ciberseguridad antes de otorgar una.
Esto significa que los CISO deberán desempeñar un papel aún más crucial a la hora de valorar y contratar un ciberseguro en la organización. Disponer de una póliza de esta naturaleza debe ser algo que valoren los ejecutivos de la compañía junto con el CEO, la persona responsable de la gestión de riesgos y el CISO.
Cómo han cambiado los ciberseguros
Las primeras versiones de las pólizas de ciberseguros se remontan a fines de la década de 1990, aunque las organizaciones solían depender de pólizas de seguro más convencionales para cubrir eventos tecnológicos. Eso cambió alrededor de 2015, cuando más aseguradoras empezaron a ofrecer pólizas de seguros ante ciberriesgos de manera independientes.
Fue por esa época cuando algunas aseguradoras comenzaron a argumentar que las pólizas de seguro más generales no deberían cubrir las pérdidas por ciberataques, un mensaje que empezó a cobrar relevancia después de los ataques de NotPetya en 2017.
Fue entonces cuando se empezó a considerar que los ataques iniciados por ciberdelincuentes, supuestamente respaldados por estados-nación, se considerarían actos de guerra y, por lo tanto, se excluirían de los pagos.
La polémica siguió con casos tan sonados como el de la farmacéutica Merck, que demandó a su aseguradora después de que le negara la cobertura de su seguro de propiedad contra todo riesgo por pérdidas de 1.400 millones de dólares. A principios de 2022, un juez falló a favor de Merck.
Hoy en día, el creciente volumen de ciberataques y el consiguiente aumento de los costes derivados, han alimentado un interés creciente en las pólizas de seguros por ciberriesgos. Sin embargo, desde Forrester Research señalan que ese interés aumenta a medida que resulta más difícil conseguir un ciberseguro.
Especialmente a partir de la pandemia, ante el aumento de las reclamaciones que recibieron las aseguradoras por interrupciones de negocio, y por ciberataques, la obtención de una póliza se ha vuelto más complicado. Y es que ahora las consecuencias de los ataques se han vuelto más impredecibles ante la expansión de la superficie de ataque y el aumento del ecosistema de relaciones de las organizaciones.
El factor económico
Un reciente informe de Hiscox señala que el 64% de las más de 5.000 empresas encuestadas en ochos países cuenta con un ciberseguro, ya sea una póliza independiente o como parte de otra póliza. Una cifra que hace dos años frente al 58% dos años antes.
Otros datos interesantes del informe apuntan que el porcentaje de empresas que han experimentado un ciberataque en los últimos 12 meses ha aumentado un 48% respecto al pasado año. Además, el precio medio de un ataque ha aumentado este 2022 en un 29%, y un 20% de las que han sido víctima de un ataque considera que su solvencia está amenazada, un 24% más que hace un año.
Este crecimiento en las reclamaciones y los costes que están experimentando las aseguradoras es lo que las ha llevado a exigir a las organizaciones controles de seguridad más sólidos, como el uso de la autenticación multifactor (MFA) o planes de respuesta a incidentes robustos.
Por tanto, a la hora de contratar un ciberseguro, hay que tener en cuenta que las aseguradoras cada vez requerirán a las organizaciones más pruebas de que han alcanzado ciertos niveles de seguridad. Además de revisar estrategias y políticas de seguridad, también tienen en cuenta programas de capacitación y concientización.
Más requisitos para un ciberseguro
En consecuencia, los responsables de seguridad de las organizaciones están teniendo un papel más relevante al necesitar comprender todos los requisitos que deben cumplir para obtener un ciberseguro, e incorporarlos.
Pero cumplir con todos estos requisitos no garantiza poder acceder a una póliza ya que los precios han aumentado considerablemente en los últimos años. Un estudio de Delinea señala que el 75% de los encuestados vieron aumentar sus primas la última vez que renovaron sus pólizas.
Además, las coberturas están experimentando variaciones constantemente. Solo alrededor del 30% de las organizaciones cuentan con políticas que cubren el ransomware, negociaciones de rescate y decisiones sobre el pago de rescate. Asimismo, el citado informe destaca que el 48% de las empresas cuenta con pólizas que cubren la recuperación de datos, y alrededor de un 33% que cubren respuesta a incidentes, multas regulatorias y daños a terceros.
Teniendo en cuenta el aumento de los costes y las limitaciones de la cobertura, algunas organizaciones están evaluando sus opciones y planteándose si la póliza vale lo que se paga por ella.
¿Vale la pena un ciberseguro a largo plazo?
Plantear esta pregunta a los expertos seguramente tendrá un sí por respuesta. No cabe duda de que las pólizas de seguro pueden ayudar a las organizaciones a recuperarse después de un ataque y ayudan a reducir el riesgo.
No obstante, algunas organizaciones están descubriendo que no pueden justificar el pago de las primas, especialmente las pymes, que también encuentran serias dificultades para cumplir con todos los controles que las aseguradoras requieren. De hecho, cada vez son más las organizaciones que prefieren invertir más en sus programas de seguridad en lugar de en ciberseguros.
Sin embargo, no se trata de una opción válida para todos. Por ejemplo, no es una solución para los que no tienen herramientas para identificar cuándo se está produciendo una infracción y corren serios riesgos.
Pero no es un tema del que las empresas quieran hablar públicamente para no dar pistas a los ciberdelincuentes a la hora de saber si tienen un ciberseguro que les cubra los costes de un ciberataque o no.
En cualquier caso, los CISO están llamados a trabajar con los responsables de riesgos y legales, entre otros, para evaluar las posturas de ciberseguridad, cuantificar riesgos y hacer recomendaciones sobre el mejor camino a seguir.